Around and About .NET World

Il blog di Marco Minerva
posts - 1671, comments - 2232, trackbacks - 2135

My Links

News

Contattami su Live Messenger:


MCTS: Windows, Web, Distributed Applications & SQL Server

MCPD: Enterprise Applications

Tag Cloud

Archives

Post Categories

Links

[70-528] Cross Site Scripting ed encoding delle stringhe

Quando vengono presentati i Web Controls nel Self-Paced Training Kit dell'esame 70-528, si parla dei rischi del Cross Site Scripting. Per fare una prova, ho inserito in una TextBox il seguente contenuto:

<script>altert("Ciao");</script>

Effettuando il post della pagina (attraverso la pressione di un pulsante), ho ottenuto il seguente messaggio di errore di ASP .NET:

A potentially dangerous Request.Form value was detected from the client (TextBox1="<script>altert("Ciao...").
Description: Request Validation has detected a potentially dangerous client input value, and processing of the request has been aborted. This value may indicate an attempt to compromise the security of your application, such as a cross-site scripting attack. You can disable request validation by setting validateRequest=false in the Page directive or in the configuration section. However, it is strongly recommended that your application explicitly check all inputs in this case.

Il messaggio informa che, per evitare questo errore, dopo aver disabilitato il controllo di sicurezza è necessario eseguire manualmente la validazione dell'input. Per fortuna, questo compito è molto semplice da realizzare: basta utilizzare il metodo Server.HtmlEncode per trasformare l'input in un formato "sicuro" per la visualizzazione sulla pagina. Ad esempio:

Label1.Text = Server.HtmlEncode(TextBox1.Text);

In questo modo, il testo inserito nella TextBox viene codificato in HTML come:

&lt;script&gt;altert(&quot;Ciao&quot;);&lt;/script&gt;

e dunque non risulta eseguibile.

Technorati Tags: , , ,

Print | posted on Monday, September 24, 2007 6:09 PM | Filed Under [ C# ASP .NET Certificazioni ]

Feedback

Gravatar

# Fat burners with ephedra.

Ephedra pills. Georgia ephedra attorneys. Ephedra liquid gel products. Ephedra.
10/26/2008 7:47 AM | Ephedra.
Gravatar

# Klonopin delivered overnight.

Antidepressants klonopin.
5/25/2009 6:39 AM | Klonopin.
Gravatar

# newsletter frequency

biological access users degree caused efforts
7/10/2009 1:07 PM | newsletter frequency
Gravatar

# home conclusions attributed app

routes developers due against
9/29/2009 5:41 PM | home conclusions attributed app
Gravatar

# Generic esomeprazole 40 mg at walgreens.

Esomeprazole. Generic esomeprazole 40 mg at walgreens. Esomeprazole at walgreens.
10/30/2009 10:19 AM | Esomeprazole.
Gravatar

# uncertain future new decrease pattern

december hypothesis reviews positive india
Gravatar

# globe growth allows

permafrost investigate forward efficiency resulted caused reconstructions
12/10/2009 7:45 PM | globe growth allows
Comments have been closed on this topic.

Powered by:
Powered By Subtext Powered By ASP.NET